Ubuntu18.04でFreeRADIUSサーバセットアップ part2

前回の続きです。前回の記事はこちらです。

Ubuntu18.04でFreeRADIUSサーバセットアップ part1

手元に IEEE802.1X認証 できるものが年代もののCatalystL2スイッチしかありませんので、こちらでfreeradius の検証をしてみます。

Catalystは使っているOSバージョンによって大分書き方が違っています。今回の年代ものスイッチはバージョン12.2でしたので、あんまり役に立たない記事と思いますがご容赦ください。

LibreOfficeで簡単なしょぼい構成図を作ってみました。

ネットワーク構成図

Catalystスイッチに単純にUbuntuFreeRADIUSサーバとWIN7のDHCPクライアントがつながっているだけです。


いろいろ試してみましたが、最終的に動作したCatalystの設定はこんな感じでした 。 int Fa0/1 にIEEE802.1X認証してみました。

aaa new-model

aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host 192.168.0.2 auth-port 1812 acct-port 1813 key dflkj34ljb4i3

interface FastEthernet0/1
 switchport mode access
 authentication port-control auto
 dot1x pae authenticator

dflkj34ljb4i3はclisents.confに記載のパスワードです。

radius-server host 192.168.0.2 の部分もauth-port ポート番号 acct-port ポート番号をはっしょるとデフォルトのポート番号は別のポート番号になってしまいましたので(1645、1646) auth-port , acct-port もしっかり記載する必要があります。

コンソールケーブルで接続するには問題ないですが、上記設定ですとtelnet接続時にいろいろ面倒ですので、以下のコマンドも設定してみると良いかと思います。telnetで接続時も従来通りのパスワードだけのアクセス認証になります。

aaa authentication login default line

次は認証される側ですが、UbuntuがFreeRADIUSサーバになっていますので、認証されるPCにこれまた骨董品のWIN7を配置してみました。

こちらの設定も一筋縄では行きませんでしたが、Win7上で以下を実施してみます。

・WiredConfigサービスを有効化

・ネットワークアダプタのプロパティのところに認証タブがあります。こちらを「 IEEE802.1X認証有効にする」にチェックが入っているのを確認してネットワーク認証方法を「Cisco LEAP」にします。さらに設定ボタンをクリックして「ネットワーククレデンシャル 」 タブで「保存されているユーザ名とパスワードを使用」をチェックして、ユーザ名、パスワード(/etc/freeradius/3.0/mods-config/files/authorizeclisents.conf)を入れます。

こちらの手順を実行したところついに

 %DOT1X-5-SUCCESS: Authentication successful for client (xxxx.xxxx.xxxx) on Interface Fa0/1

とCatalystのログに成功のログが記録されました。DHCPでWin7にアドレスに振ることに成功しました。

IEEE802.1X認証 は面白いですが、やっぱ難しいですね。ちょろっと書いてますが、結構な時間がかかりますね。次回は Ubuntuデスクトップをもう一台増やして、WIFIル-タでIEEE802.1X認証 やってみる予定です。